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Verfahren zum Uberwachen eines Feldgerates 

Die Erfindung betrifft ein Verfahren zum Uberwachen eines Feldgerates gemali 
dem Oberbegriff des Anspruchs 1 . 

In der Prozessautomatisierungstechnik werden vielfach Feldgerate eingesetzt, die 
zur Erfassung und/oder Beeinflussung von Prozessvariablen dienen. Beispiele fur 
derartige Feldgerate sind Fullstandsmessgerate, Massedurchflussmessgerate, 
Druck- und Temperaturmessgerate, pH-Redoxpotential-Messgerate, 
Leitfahigkeitsmessgerate etc., die als Sensoren die entsprechenden 
Prozessvariablen Fullstand, Durchfluss, Druck, Temperatur, pH-Wert bzw. 
Leitfahigkeitswert erfassen. 

Neben solchen Messgeraten sind auch Systeme bekannt, die neben der 
Messwerterfassung auch weitere Aufgaben erfiillen; zu nennen sind hier 
Elektrodenreinigungssysteme, Kalibriersysteme sowie Probenehmer. 

Ebenfalls als Feldgerate werden Ein-/Ausgabeeinheiten sogenannte Remote l/Os 
bezeichnet. 

Zur Beeinflussung von Prozessvariablen dienen sogenannte Aktoren z. B. Ventile, 
die den Durchfluss einer Fliissigkeit in einem Rohrleitungsabschnitt Steuern oder 
Pumpen, die den Fullstand in einem Behalter beeinflussen. 

Eine Vielzahl solcher Feldgerate wird von der Firma Endress + Hauser® hergestellt 
und vertrieben. 

Haufig sind Feldgerate in einer modemen Fabrikationsanlage uber ein 
Feldbussystem (Profibus®, Foundation®-Fieldbus, HART®, etc.) mit 
iibergeordneten Einheiten z. B. Leitsystemen bzw. Steuereinheiten verbunden. 
Diese iibergeordneten Einheiten dienen zur Prozesssteuerung, 
Prozessvisualisierung, Prozessiiberwachung sowie zur Bedienung und 
Uberwachung der Feldgerate. 
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Von den ubergeordneten Einheiten sind auch Kommunikationsverbindungen zu 
weiteren Firmennetzwerken moglich. 

Zur Bedienung der Feldgerate sind entsprechende Bedienprogramme (Bedientoois) 
. 5 im Leitsystem bzw. in der Steuereinheit notwendig. Diese Bedienprogramme 
konnen eigenstandig ablaufen oder aber auch in Leitsystem-Anwendungen 
integriert sein. 

Die Sensoren liefern Messwerte, die dem aktuellen Wert der erfassten 
io Prozessvariable entsprechen. Diese Messwerte werden an eine Steuereinheit z. B. 
SPS (Speicherprogrammierbare Steuerung) weitergeleitet. 

In der Regel erfolgt die Prozesssteuerung von der Steuereinheit, wo die Messwerte 
verschiedener Feldgerate ausgewertet werden und aufgrund der Auswertung 
15 Steuersignale fur die entsprechenden Aktoren erzeugt werden. Neben der reinen 
Messwertubertragung konnen Feldgerate auch zusatzliche Informationen 
(Diagnose, Status, etc.) Cibertragen. Die Parametrierung und Konfigurierung der 
Feldgerate erfolgt ebenfalls iiber das Feldbussystem. 

20 Das Feldbussystem bezeichnet man auch als Prozesskontrollsystem. 

Die Sicherheitsanforderungen an Prozesskontrollsysteme werden immer strenger. 
Deshalb sind in vielen Untemehmen Prozesskontrollsysteme von anderen 
Firmennetzwerken (SAP, Business) streng getrennt. Dadurch sollen unerlaubte 
25 Zugriffe auf Feldgerate vermeiden werden. Momentan konzentrieren sich die 
Anstrengungen im Hinblick auf Sicherheit bei Prozesskontrollsystemen auf die 
Netzwerk-Ebene. 

Zur Vermeidung von firmenfremden Eingriffen werden sogenannte Firewalls 
30 eingesetzt. Neben firmenfremden Eingriffen sind aber unberechtigte firmeninterne 
Eingriffe ebenso gefahrlich. Bei firmenintemen Eingriffen konnen z. B. Parameter in 
Feldgeraten geandert werden oder die gesamte Kontrollstrategie geandert werden. 
Dies kann zu unerwunschten Anderungen im Produktionsablauf fuhren. 
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Eine Kontrollstrategie kann z. B. mit dem System FieldCare® von der Firma 
Endress + Hauser erzeugt werden und in die Feldgerate geladen werden. 

Programme, die die Parametrterung, Konfigurierung und eine Veranderung der 
Kontrollstrategie ermoglichen (SCADA-Systeme oder Configuration Tools) sind 
meist mit einem Passwortschutz ausgestattet. Hierbei ist auch eine Authorisierung 
der Personen die Anderungen durchfuhren notwendig. 

Z. B. konnen bei dem Centum CS 1000 Prozesskontrollsystem von Yokogawa 
kritische Funktionsblocke, die z.B. in Feldgeraten ablaufen, nur uber die Eingabe 
von zwei Passwortern verschiedener Personen geandert werden. 

Bei der Firma Endress + Hauser gibt es ein Sicherheitsschutz gegen unberechtigtes 
Andem von Parametem bei Feldgeraten iiber eine Verriegelung. Die Person, die 
Anderung vornehmen mochte, muss am Feldgerat einen Code eingeben bevor 
Anderungen am Feldgerat moglich werden. 

Feldgerate, die in Prozesskontrollsystemen eingesetzt werden, weisen 
normalerweise Mikroprozessoren mit entsprechenden Peripherie Bausteinen auf. 

Deshalb kann aber nicht ausgeschlossen werden, dass Hardware bzw. Software 
oder auch deren Teile in einem Feldgerat unberechtigt ausgetauscht bzw. verandert 
werden. Ein derartiger Manipulation wiirde von einem Prozessleitsystem aus nicht 
erkannt werden. Sie bedeuten aber ein erheblichen Eingriff in den Prozessablauf 
bzw. die Kontrollstrategie. 

Insbesondere auch aus gesetzlichen bzw. vorschriftsmalJigen Griinden ist es fur 
einen Anlagebetreiber wichtig, dass ein manipulationssicheren Prozessablauf 
gewahrleistet wird. 
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Aufgabe der Erfindung ist es deshalb, ein Verfahren zum Uberwachen von 
Feldgeraten anzugeben, das ein unberechtigtes mMnipulieren von Feldgeraten 
nicht ermoglicht. 

5 Gelost wird diese Aufgabe durch die in Anspruch 1 angegebenen Merkmale. 
Vorteilhafte Weiterentwicklungen der Erfindung sind in den Unteranspruchen 
angegeben. 

Wesentliche Idee der Erfindung ist es, dass eine Steuereinheit, die uber ein Feldbus 
10 mit dem Feldgerat verbunden ist, in zeitlichen Abstanden eine individuelle Kennung 
des Feldgerates anfordert und diese mit einer in der Steuereinheit abgespeicherten 
Kennung vergleicht. Durch diese Abfrage wird ein Austausch der Hardware bzw. 
der Software oder deren Teile sofort bemerkt. Insbesondere im Hinblick auf die 
Validierbarkeit einer Anlage ist das erfindungsgemafie Verfahren wesentlich. 

15 

In einfacher Weise kann es sich bei der individuellen Kennung um die 
Seriennummer des Feldgerates handeln. 

In einer alternativen Ausgestaltung der Erfindung kann es sich bei der individuellen 
Kennung um ein Schlussel in der Geratefirmenware des Feldgerates handeln. 

20 

Denkbar ist auch als individuelle Kennung eine im Feldgerate abgespeicherte 
Prufsumme einer Speichereinheit zu verwenden. 

Um eine zuverlassige Protokollierung der Anlage zu ermoglichen, wird bei jeder 
25 Anfrage die angeforderte Kennung in einer Datenbank mit einem entsprechenden 
Zeitstempel abgespeichert. 

Sinnvoll ist ein Abspeichern der Kennung in der Datenbank nur dann, wenn eine 
Anderung der Kennung festgestellt wurde. 

30 

Da eine Manipulation an einem Feldgerat dem Bedienpersonal unmittelbar 
mitgeteilt werden muss, wird, falls eine Anderung der Kennung eines Feldgerates 
festgestellt wurde, eine Alarmmeldung oder eine Warnungsmeldung erzeugt. 
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Da auch betriebsbedingte Anderungen am Feldgerat vorgenommen werden 
mussen, sollen Alarmmeldungen oder Ereignisse nur erzeugt werden, wenn diese 
aulierhalb spezifizierter Wartungszeitraume liegen. Oder wenn die Wartung explizit 
erlaubt/ geplant wurde. 

5 

Nachfolgend ist die Erfindung anhand eines in der Zeichnung dargestellten 
Ausfuhrungsbeispiels naher erlautert. 

Es zeigen: 

10 

Fig. 1 Netzwerk der Prozessautomatisierungstechnik in schematischer Darstellung. 

In Fig. 1 ist ein Netzwerk der Prozessautomatisierungstechnik naher dargestellt. An 
einem Datenbus D1 sind mehrere Leitsysteme bzw. Steuereinheiten (Workstations 

is WS1 , WS2) die zur Prozessvisualisierung, Prozessuberwachung und zum 

Engeenering dienen, angeschlossen. Der Datenbus D1 arbe'rtet z. B. nach dem 
HSE (High Speed Ethernet) Standard der Foundation Fieldbus. Uber ein Gateway 
G1, das auch als Linking Device bezeichnet wird, ist der Datenbus D1 mit einem 
Feldbussegment SM1 verbunden. Das Feldbussegment SM1 besteht aus mehreren 

20 Feldgeraten F1, F2, F3, F4, die ubereinen Feldbus FB miteinander verbunden sind. 
Der Feldbus arbeitet z. B. nach dem Foundation® Fieldbus- Standard. 

Nachfolgend ist das erfindungsgemalie Verfahren naher erlautert. 

25 Die Steuereinheit WS1 fordert in zeitlichen Abstanden eine individuelle Kennung 
des Feldgerates z. B. F1 an. Aufgrund der Anfrage sendet das Feldgerat F1 seine 
individuelle Kennung an die Steuereinheit WS1 . In der Steuereinheit WS1 wird 
diese individuelle Kennung mit einer in der Steuereinheit WS1 abgespeicherten 
individuellen Kennung verglichen. Stimmt die vom Feldgerat ubertragene Kennung 

30 mit der in der Steuereinheit abgespeicherten individuellen Kennung Ciberein, so ist 
sichergestellt, dass keine unberechtigten Manipulationen hinsichtlich Hard- bzw. 
Software am Feldgerat vorgenommen worden sind. Dadurch ist eine Validierung 
des Prozessablaufes moglich. 
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Als individuelle Kennung ist die Seriennummer des Feldgerates F1 bzw. eine 
Schlussei in der Geratesoftware moglich. Die Steuereinheit WS1 ist mit einer 
externen Datenbank verbunden, in der jede Abfrage mit einem Zeitstempel 
protokolliert wird. Dadurch ist ein Nachweis uber einen langeren Zeitraum moglich. 

In einer alternativen Ausgestaltung der Erfindung erfolgt das Abspeichern der 
Datenbank nur, wenn eine Anderung der Kennung von der Steuereinheit WS1 
festegestellt wurde. 

In der Regel finden Wartungsarbeiten an einer Automatisierungsanlage zu genau 
spezifizierten Wartungszeitraumen statt. Urn unnotige Alarmmeldungen zu 
vermeiden, werden diese nur erzeugt, wenn sie aulierhalb spezifizierter 
Wartungszeitraume liegen. 

Die Alarmmeldung kann an der Steuereinheit WS1 angezeigt werden oder aber 
auch uber alternative Wege z. B. eMail, SMS und Fax an die zustandigen Stellen 
weitergeleitet werden. 

In einer sehr einfachen Ausgestaltung wird in der Steuereinheit nur uberwacht, ob 
das betreffende Feldgerat z.B. F1 mit dem Feldbus FB verbunden ist und 
funktionsfahig ist. 

Hierfur richtet die Steuereinheit WS1 eine Anfrage an das Feldgerat F1 , die eine 
Antwort des Feldgerates F1 erfordert. Falls das Feldgerat nicht antwortet, wird der 
Ausfall in der Datenbank abgespeichert. 
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Patentanspruche 

Verfahren zum Oberwachen eines Feldgerates das uber einen Datenbus mit 
einer Steuereinheit verbunden ist, dadurch gekennzeich.net, dass die 
Steuereinheit in zeitlichen Abstanden eine individuelle Kennung des Feldgerates 
anfordert und diese mit einer in der Steuereinheit abgespeicherten Kennung 
vergleicht. 

2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass die individuelle 
io Kennung die Serien-Nr. des Feldgerates ist. 



3. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass die individuelle 
Kennung ein Schlussel in der Gerate-Firmware des Feldgerates ist. 

15 4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass die Kennung eine 
Prufsumme einer Speichereinheit im Feldgerat ist. 

5. Verfahren nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, dass die angeforderte Kennung in eine Datenbank mit 

20 Zeitstempel abgespeichert wird. 

6. Verfahren nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, dass eine Abspeicherung in der Datenbank nur erfolgt, wenn 
eine Anderung der Kennung festgestellt wurde. 

25 

7. Verfahren nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, dass bei einer Anderung der Kennung eine Alarmmeldung oder 
eine Wammeldung erzeugt wird. 

30 8. Verfahren nach einem der vorhergehenden Anspruche, dadurch 

gekennzeichnet, dass eine Alarmmeldung oder eine Warnmeldung nur erzeugt 
wird, wenn sie aulierhalb spez'rfizierter Wartungszeitraume liegt. 
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9. Verfahren nach einem der vorhergehende Anspriiche, dadurch gekennzeichnet, 
dass die Alarmmeldung oofer die Warnmeldung an der Steuereinheit dargestellt 
wird. 

. 5 1 0. Verfahren nach einem der vorhergehende Anspriiche, dadurch gekennzeichnet, 
dass die Alarmmeldung oder die Warnmeldung (z.B., eMail, SMS, Fax) in 
elektronischer Form versendet wird. 

1 1. Verfahren nach einem der vorhergehende Anspriiche, dadurch gekennzeichnet, 
10 dass die Alarmmeldungen oder Wammeldungen an der Steuereinheit abrufbar 

sind. 

12. Verfahren nach einem der vorhergehende Anspriiche, dadurch gekennzeichnet, 
dass die Alarmmeldungen oder Wammeldungen iiber einen Client {z.B. Internet 

15 Explorer) abgerufen werden konnen. 

13. Verfahren zum Uberwachen eines Feldgerates das iiber einen Datenbus mit 
einer Steuereinheit verbunden ist, dadurch gekennzeichnet, dass die 
Steuereinheit in zeitlichen Abstanden eine Anfrage an das Feldgerat richtet, die 

20 eine Antwort des Feldgerates erfordert und falls keine Antwort vom Feldgerat 
kommt, dies in einer Datenbank mit entsprechendem Zeitstempel abspeichert. 
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